Сигурност

Инструментите за дистанционно администриране - неочаквана заплаха за индустриалните мрежи

CIO Media

Инструментите за дистанционно администриране (remote administration tool, RAT) представляват сериозна заплаха за индустриалните мрежи. Те са инсталирани при 31,6% от системите за индустриален контрол (industrial control system, ICS), но често остават незабелязани. Обикновено екипът по сигурността ги открива едва след като киберпрестъпници са използвали RAT, за да инсталират вирус, искащ откуп, или софтуер, копаещ за криптовалута; за да откраднат конфиденциална информация или дори пари.

Именно това са установили експерти по сигурността от Kaspersky Lab след проведено специално изследване по въпроса. RAT са легитимни инструменти, които позволяват трети страни да имат достъп до даден компютър дистанционно. Те често са използвани от служителите в индустриалните компании за запазване на ресурси, но също така могат да попаднат и в ръцете на злонамерени актьори за получаване на привилигирован достъп до определи компютри.

Според доклада, публикуван от Kaspersky Lab ICS CERT, тези инструменти са изключително широко разпространени във всички индустрии: почти една трета от ICS компютрите, защитени с продукти на Kaspersky Lab, разполагат с RAT. Освен това почти една пета от RAT инструментите идва с ICS софтуер по подразбиране. Това ги прави по-малко видими за системните администратори и следователно по-привлекателна цел за киберпрестъпниците.

Проведеното проучване показва, че злонамерените потребители използват RAT софтуер, за да:

  • получат неразрешен достъп до дадена мрежа

  • заразят мрежата с малуер с цел шпионаж, саботаж или придобиване на нелегални финансови приходи (чрез  софтуер, искащ откуп, или чрез получаване на достъп до финансови активи).


Инструментите за дистанционно администриране - неочаквана заплаха за индустриалните мрежи

© CIO Media, Cio.bg

Най-значителната заплаха, свързана с RAT инструментите, е свързана с това, че те дават неограничен контрол над индустриалното предприятие. Това може да доведе до значителни финансови загуби, както и до физически инциденти.

Един от най-популярните начини да се поеме контрола над RAT инструментите, е отгатването на пароли. За тази цел се пробват всички възможни комбинации от символи, докато правилната не бъде намерена. Също така киберпрестъпниците могат да намерят и използват уязвимите места в самия RAT софтуер.

За да се намали рискът от кибератаки, включващи RAT, специалистите препоръчват някоя от следните техники:

  • Контролирайте използването на приложения и инструменти за дистанционно администриране, прилагани при индустриални мрежи като VNC, RDP, TeamViewer, RMS / Remote Utilities. Премахнете всички RAT инструменти, които не са необходими за индустриалния процес.

  • Проведете одит и изключете инструментите за дистанционно администриране, които идват заедно с ICS софтуера, стига те да не са необходими на индустриалния процес.

  • Следете и отбелязвайте събитията за всяка сесията на дистанционен контрол. Дистанционния достъп трябва да бъде блокиран и да се включва само при необходимост, само за ограничен период от време.


X